《深圳经济特区数据条例》解读
市人大常委会法工委
《深圳经济特区数据条例》(以下简称《条例》)经深圳市第七届人民代表大会常务委员会第二次会议于2021年6月29日通过,自2022年1月1日起施行。现将有关情况解读如下。
一、立法的必要性
(一)是全面实施大数据战略,落实综合改革实施方案要求的需要
党的十九届四中全会作出《关于坚持和完善中国特色社会主义制度 推进国家治理体系和治理能力现代化若干重大问题的决定》,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》等文件,将数据作为新的生产要素上升到基础战略资源地位。2020年10月,中共中央办公厅、国务院办公厅又印发了《深圳建设中国特色社会主义先行示范区综合改革试点实施方案(2020-2025年)》(以下简称《综合改革试点实施方案》),要求深圳在数据产权制度、数据产权保护和利用新机制、数据隐私保护制度、政府数据共享开放以及数据交易等方面先行探索。为了贯彻中共中央、国务院关于大数据战略的决策部署,落实《综合改革实施方案》有关要求,有必要在数据法律制度构建方面先行先试,通过立法,充分发挥数据的基础资源作用和创新引擎作用,培育资源配置高效的数据要素市场。
(二)是规范个人数据处理活动,强化个人数据保护的需要
自然人作为数据的重要来源主体之一,其个人数据已经成为经济社会发展的重要数据资源类型。处理个人数据的技术手段不断更新迭代,相应的个人数据应用也在迅猛发展。但是由于个人数据保护相关法律规范的缺失,未经个人同意收集个人数据、超出必要获取用户权限、非法交易个人数据、滥用个人数据等侵权问题屡见不鲜,严重影响公民私人生活的安宁,有的甚至严重损害公民名誉和人身、财产安全。为了有效遏止个人数据侵权行为,切实维护个人数据主体的合法权益,有必要通过经济特区立法,规范个人数据处理活动,强化对个人数据的保护。
(三)是推进公共数据资源开放利用,提升政府数据治理能力的需要
近年来,深圳以优化营商环境和提升民生服务为突破口,不断推出公共数据共享开放、开发利用等方面的系列创新举措,取得了卓有成效的成绩。然而,公共数据仍呈现出“数据总量规模小、数据质量较差、可利用率不高、用户参与度低”的特点,公共数据的管理规范体系尚未建立,公共数据的共享标准未统一,公共数据的开放程度不充分等问题亟需解决。有必要通过经济特区立法,在将公共数据相关改革创新经验转化为制度成果的同时,着力解决现有公共数据共享开放的瓶颈难题,充分开发利用公共数据资源,加快智慧城市和数字政府建设,提升政府数据治理能力。
(四)是加快培育数据要素市场,促进数字经济发展的需要
深圳作为全球重要的电子信息和数据产业基地,其商贸、金融、物流、通信等数据的生产量处于全国前列,同时汇聚了超过300家大数据企业,基本形成了较为完善的大数据产业链,在数据催生下的数字经济新产业、新业态和新模式也正蓬勃发展。但由于现阶段相关法律制度的不健全,深圳的数字经济发展也面临着巨大挑战,如数据交易机制不完善阻碍了数据交易的规模扩张、企业间数据不正当竞争纠纷多发等,亟需通过立法,规范数据要素市场化行为,推动数据的有序流动和数据产业的健康发展,促进数据要素市场的培育和发展。
二、主要内容和制度创新
不同于数据相关法律以及其他省市地方性法规、规章从涉及数据的某个具体领域制定单项、专门性数据规范的做法,《条例》内容涵盖了个人数据、公共数据、数据要素市场、数据安全等方面,是国内数据领域首部基础性、综合性立法。《条例》坚持“保护与发展并重,以保护为基础,以发展为目标,以保护促发展”的基本指导思想,着力平衡发展数字经济与保护个人数据、数据开发利用与数据安全之间的关系,构建数据治理的具体制度,力图在确保数据安全,保护个人数据的基础上,最大程度激发、释放数据作为生产要素的经济价值,为我市数字产业、数字经济的发展提供良好的法治环境。
(一)探索数据相关权益范围和类型
《综合改革试点实施方案》提出深圳要“率先完善数据产权制度,探索数据产权保护和利用新机制”。虽然目前就数据权属问题还未形成统一认识,难以通过地方性法规旗帜鲜明地创设“数据权”这一新的权利类型,但是对于“个人数据具有人格权属性”“企业对其投入大量智力劳动成果形成的数据产品和服务具有财产性权益”已经取得普遍共识。基于这一认识,《条例》率先在立法中探索数据相关权益范围和类型,明确自然人对个人数据依法享有人格权益,包括知情同意、补充更正、删除、查阅复制等权益;自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及条例规定的财产权益,可以依法自主使用,取得收益,进行处分。
(二)强化个人数据保护
1.明确处理个人数据的基本原则
《条例》参考《中华人民共和国个人信息保护法(二次审议稿)》(以下简称《个人信息保护法(二稿)》)以及国家推荐性标准《信息安全技术 个人信息安全规范》(GB/T 35273—2020)(以下简称《个人信息安全规范》)等相关规定确立了处理个人数据的基本原则,即处理个人数据应当具有明确、合理的目的,并遵循最小必要和合理期限原则;同时,针对公众普遍关注的最小必要原则的具体内涵,《条例》进一步明确,即限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式处理个人数据,并例举了五种符合最小必要原则的具体情形。
2.确立以“告知——同意”为前提的个人数据处理规则
为进一步规范个人数据处理活动,《条例》借鉴国际主流个人数据立法的规定,确立了以“告知——同意”为基础的个人数据处理规则:一是处理个人数据具有告知义务,应当在处理前向自然人告知数据处理者的基本信息,处理个人数据的种类、范围、目的和方式,存储个人数据的期限,可能存在的安全风险、采取的安全保护措施,以及自然人依法享有的权利、行使权利的方式等事项。二是处理个人数据应当征得自然人的同意,在其同意的范围内处理其个人数据,不得通过误导、欺骗、胁迫等违背自然人真实意愿的方式获取同意,并对同意规则的例外情形作出了规定。三是针对自然人撤回同意的情形,规定数据处理者应当提供撤回同意的途径,不得对撤回同意进行不合理限制或者附加不合理条件;并在立法中首次认可了数据处理者在自然人撤回同意前基于同意进行的合法数据处理的有效性。
3.合理限制生物识别数据的处理
“人脸识别”“指纹验证”“声音解锁”“虹膜识别”等生物识别技术在刑侦、治安、金融、医疗、交通、学校、支付等场景大范围使用,深刻改变了人们的生产生活方式。但是由于生物识别数据具有唯一性、终生性、不可更改性,一旦泄露或者被滥用,将造成较一般个人数据更为严重的损害后果。为了在拓展生物识别技术应用的同时,避免生物识别数据的滥用,《条例》对处理生物识别数据作出了较处理其他数据更加严格的规定,要求处理生物识别数据时,除该生物识别数据为处理个人数据目的所必需,且不能为其他非生物识别数据所替代的情形外,应当同时提供处理其他非生物识别数据的替代方案。
4.规范用户画像和个性化推荐的应用
用户画像和个性化推荐的应用,为人们提供了更加精准、个性化的商品和服务,但同时也带来了一些负面影响,如“信息茧房”。为了在尽可能尊重和保障自然人对处理其个人数据的决定权的同时,不阻碍用户画像和个性化推荐等新兴数据应用技术的发展,《条例》首创性地规定,数据处理者基于提升产品或者服务质量的目的,对自然人进行用户画像的,应当明示用户画像的主要规则和用途;自然人有权拒绝数据处理者对其进行上述用户画像和基于用户画像进行的个性化推荐,数据处理者应当为其提供拒绝的途径。
5.强化对未成年人个人数据的保护
为加强对未成年人个人数据的保护,在数字时代为其创造更有利的成长环境,《条例》借鉴《个人信息安全规范》关于“十四岁以下儿童的个人信息属于敏感个人信息”的规定,并与《中华人民共和国未成年人保护法》以及国家网信办《儿童个人信息网络保护规定》均将十四周岁作为加强未成年人个人信息保护临界年龄的规定保持一致,将未满十四周岁未成年的个人数据视作敏感个人数据,适用敏感个人数据的有关规定。
此外,针对未成年人用户画像问题,虽然未成年人用户画像有诸多有益应用,如在线教育APP针对不同特征的学生有的放矢地制定相应的教学方案,但由于未成年人缺乏基本的辨识认知能力,难以辨别对其进行的个性化推荐是否符合其自身利益,因此,《条例》首次在国内立法中明确,除为了维护未满十四周岁未成年人的合法权益并征得其监护人明示同意外,不得向其进行个性化推荐。
(三)提升公共数据治理水平
1.建立公共数据治理体系
为加强公共数据统筹管理,构建高质量的公共数据资源体系,《条例》从提升公共数据质量、促进公共数据共享开放等方面,设计了公共数据治理的顶层框架。一是构建公共数据管理体系,建设以城市大数据中心为核心的公共数据运行管理机制。二是建立公共数据资源管理制度,实行公共数据分类管理、目录管理。三是确立公共数据收集的基本原则,实行公共数据统筹采购,并要求对于可通过共享方式获得的数据不得再另行收集。四是明确公共数据以共享为原则,不共享为例外,建立以公共数据资源目录体系为基础的公共数据共享需求对接机制。五是建立公共数据开放管理制度,建立公共数据开放目录和调整机制。
2.推动公共数据最大限度开放利用
根据习近平总书记在2017年12月8日在中共中央政治局实施国家大数据战略第二次集体学习中的讲话精神,公共数据资源是公共资源,治理公共数据最终目标是推动公共数据资源的开放利用。立法应当将公共数据资源开放纳入公共服务,减少政府对于公共数据开发利用的干预,充分发挥市场对公共数据资源的高效配置作用,由市场主体对开放的公共数据进行开发利用,将公共数据资源转化为生产要素和生产力,从而最大程度地实现公共数据的价值。《条例》就公共数据开放确立了分类分级、需求导向、安全可控的原则,要求公共数据应当在法律、法规允许范围内最大限度开放。一是最大限度界定公共数据范围,规定公共管理和服务机构在依法履行公共管理职责或者提供公共服务过程中,产生、处理的数据均属于公共数据。明确将提供教育、卫生健康、社会福利、供水、供电、供气、环境保护、公共交通和其他公共服务的组织纳入公共管理和服务机构范围。二是建设统一、高效的公共数据开放平台,组织公共管理和服务机构通过平台向社会开放公共数据。三是公共数据依照法律、法规规定开放,不得收取任何费用。
(四)探索培育数据要素市场
1.促进数据要素价值实现
为促进市场主体实现数据要素价值,《条例》从五个方面探索培育数据要素市场,并填补目前数据交易相关法律规范的空白:一是建立健全数据标准体系,支持制定相关各类地方标准、行业标准、团体标准和企业标准。二是推动数据质量评估认证和数据价值评估。三是探索建立数据要素统计核算制度,准确反映数据生产要素的资产价值,推动将数据生产要素纳入国民经济核算体系。四是拓宽数据交易渠道,充分尊重市场主体的自由意志,允许市场主体通过依法设立的数据交易平台进行数据交易或者依法自行交易。五是明确数据交易范围为“合法处理数据形成的数据产品和服务”,并从反面禁止交易包含个人数据未经相关权利人同意的数据产品和服务,以及包含未经依法开放的公共数据的数据产品和服务。
2.促进数据要素市场公平竞争
随着数字经济的发展,企业间的不正当数据竞争日益增多,严重制约了数据要素市场的培育和发展。为建立有序的数据要素市场竞争规则,保障市场主体和消费者的合法权益,《条例》在《中国人民共和国反不正当竞争法》的基础上,总结近年来数据要素市场不正当竞争司法案例的审判经验,借鉴国务院反垄断委员会《关于平台经济领域的反垄断指南》,在国内立法中首次确立数据公平竞争有关制度,针对数据要素市场“搭便车”“不劳而获”“大数据杀熟”等竞争乱象,创新性规定市场主体不得以非法手段获取其他市场主体的数据,或者利用非法收集的其他市场主体数据提供替代性产品或者服务,侵害其他市场主体的合法权益;不得利用数据分析,无正当理由对交易条件相同的交易相对人实施差别待遇;不得通过达成垄断协议、滥用在数据要素市场的支配地位、违法实施经营者集中,排除、限制数据要素市场竞争;并对数据不正当竞争行为规定了相应的法律责任。
(五)保护数据全生命周期安全
《中华人民共和国数据安全法》(以下简称《数据安全法》)已于2021年6月10日通过,并将于9月1日起实施,《数据安全法》已就数据安全保护作出了较为完善的制度安排,特区立法不宜再行突破。因此,《条例》在国家立法的基础上进一步细化数据安全保护的相关内容:一是明确市人民政府负责统筹数据安全管理工作。二是明确数据处理者的数据安全管理责任,要求数据处理者落实在数据收集、加工、存储、共享开放、销毁、委托处理、出境等阶段的安全管理义务,并做好数据安全事件的监测、预警和应急处置工作。三是明确数据安全监督部门通过开展数据安全预警工作、对数据处理者进行数据安全管理认证和评估、约谈违规数据处理者等措施强化数据安全监督,并强调数据监督管理部门及其工作人员必须对在履职过程中知悉的个人数据、商业秘密和需要保守秘密的其他数据严格保密,不得泄露、出售或者非法向他人提供。
此外,为强化对敏感个人数据和重要数据的保护,《条例》一是对敏感个人数据或者重要数据处理者设置了更加严格的安全管理责任,要求数据处理者按照规定设立数据安全管理机构、明确数据安全管理责任人,并实施特别技术保护。二是要求市网信部门统筹协调相关主管部门和行业主管部门对重要数据进行重点保护。三是要求数据处理者针对敏感个人数据和重要数据制定去标识化或者匿名化处理安全措施。四是要求敏感个人数据或者重要数据处理者定期开展风险评估,并向有关主管部门报送风险评估报告。
(六)建立数据领域公益诉讼制度
现实中,数据侵权具有较高的隐秘性,即便被侵权人察觉,由于取证困难,出于时间或经济成本的考量,也难以实现有效维权。为缓解当前数据维权艰难的现状,《条例》参考2020年9月最高检出台《关于积极稳妥拓展公益诉讼案件范围的指导意见》关于“将个人信息保护作为网络侵害领域公益诉讼的办案重点”的意见,在地方立法中首次确立了数据领域的公益诉讼制度,规定人民检察院和法律、法规规定的组织可以就违规定处理数据致使国家利益或者公共利益受到损害的行为,依法提起民事公益诉讼;人民检察院还可以对违法行使职权或者不作为致使国家利益或者公共利益受到损害的行政机关,提出检察建议或者提起行政公益诉讼。
(七)关于违反条例相关规定的法律责任
目前《中华人民共和国个人信息保护法》仍在制定过程中,为保持对违规处理个人数据处罚的统一性,避免与上位法规定不一致,《条例》规定违反本条例规定处理个人数据的,依照个人信息保护有关法律、法规规定处罚。同时,鉴于《条例》关于数据安全的规定主要是对《数据安全法》相关规定的细化,无需在上位法规定之外另设法律责任,《条例》规定数据处理者违反本条例规定,未履行数据安全保护责任的,依照数据安全有关法律、法规规定处罚。